针对商业银行业务部门的IT审计

文 李岩

近几年，各商业银行秉承“金融科技银行”的战略转型理念，在信息安全、系统运维、设备管理及网点服务支持等方面采取有效措施，为推进银行的网络化、数据化、智能化战略部署提供了强有力的技术支撑。但是通过各商业银行的内外部检查，也发现一些显著的IT风险隐患。2017年6月，《中华人民共和国网络安全法》正式施行，对于商业银行的网络安全以及客户信息的管理要求更加严格。IT审计需要在日常审计项目中转变审计思路，调整审计重点，并对检查方向和检查方法灵活变通。本文主要对非IT职能业务部门信息科技审计的检查思路进行探讨。

一、审计重点的变化

传统商业银行的IT审计主要针对被审计单位的业务连续性管理、信息安全管理、系统运维、机房管理、网络管理等领域进行检查，以银行IT部门为主，具体检查领域如图1所示。

图1 IT审计具体检查领域

随着银行业务的快速发展，金融科技在各商业银行的有效落地，包括大量新业务系统的上线、业务量的增多、客户数据的增长、电脑终端越来越多，业务部门（公司、零售、运营、财务、风控等）在信息科技领域的风险越来越值得关注，而且使用业务系统以及信息安全管理的核心单位往往是各银行的业务部门。因此，审计项目需要在传统IT审计的基础上，将各银行业务部门的IT管理作为审计重点。传统IT审计与业务部门IT审计的区别如表1所示。

二、主要风险的应对

非IT职能业务部门的IT管理工作主要分为数据安全管理、外包管理、业务系统管理三个方面。

（一）数据安全管理

数据安全领域的风险是目前商业银行业务部门IT管理存在的主要风险，体现在以下几个方面：一是邮件管理方面。最典型的就是员工存在违规外发邮件的行为，虽然各家银行已在信息安全制度方面对邮件外发行为进行了明确规定，但是通过近几年的审计，发现该问题仍是屡查屡犯。根本原因在于个别员工IT专业知识有限，信息安全意识不强，对风险认识不深，由于工作和个人需要，将涉密信息违规外发至第三方邮箱。二是移动端管理方面。随着手机、PAD等移动通讯设备的大量使用，银行客户信息、管理制度等商业机密通过移动端外泄的风险越来越大，而智能手机自带的拍照功能以及云存储分享功能是主要原因。三是终端管理方面。主要体现在个人电脑及公共终端上。相较于IT部门，业务部门的员工日常更容易接触各类客户数据和银行管理类数据，由于部分银行未对员工电脑的USB端口访问进行明确限制，加上个别员工信息安全意识不强，存在违规拷贝、将敏感数据留存在个人移动介质上的问题。此外，目前部分商业银行的业务部门留存各类办公网、业务网的公共电脑，具体问题主要表现为业务部门公共机未设置桌面自动恢复功能、本地留存客户数据未清理、业务系统用户未及时注销、防病毒软件不合规、用户名密码以明文形式保管等。相较于个人电脑，公共机因为是多人使用的终端，更易产生数据泄露等安全隐患。四是保密教育方面。部分业务部门的信息安全培训、保密教育形同虚设，员工忙于日常工作，信息安全意识淡薄，保密工作未真正落实到位。

2017年6月施行的《中华人民共和国网络安全法》已经对网络运营者提出个人信息保护的明确要求，各商业银行也根据监管要求和自身情况发布了保密要求、数据安全、邮件管理等内部管理要求，对于银行商业机密数据的分类、数据保管和清理周期、外发邮件安全、移动介质保管、公共机管理等提出明确要求。针对相关风险，可以在日常工作中采取两方面措施：一是进行硬控制。对于网络访问进行硬控制，防止员工将内部邮件外发；敏感区域（高柜、数据操作间）禁止使用手机拍照；清理业务部门的公共电脑，要求员工只能使用个人电脑办公；关闭员工个人电脑的USB端口，禁止使用个人移动介质，从源头上杜绝违规拷贝行为。二是加大问责力度。除了加强制度学习，提高信息安全培训频率，加大问责力度也是减少问题屡查屡犯的有效手段。

表1 传统IT审计与业务部门IT审计的区别

（二）外包管理

审计人员应对银行的各外包业务进行全面梳理，将涉及银行资产管理、数据传输、数据保管、系统控制等方面的外包业务全部纳入检查范围。目前外包业务主要包括银企对账、收单业务、抵押代办业务、个贷催收业务等，主要风险涉及合同管理、机具管理、库房环境、网络控制、系统权限、客户数据传输与保管、应急管理等方面。例如，银企对账公司处理客户数据的电脑未按照外包协议断网、客户历史数据未清除、终端未安装企业版杀毒软件；收单业务公司机具管理存在漏洞，包括缺少设备台账，库房缺少监控摄像头；个贷催收公司未使用企业邮箱接受银行数据等。

《银行业金融机构外包风险管理指引》《银行业金融机构信息科技外包风险监管指引》等外包业务管理制度对于商业银行与外包公司签订外包服务合同及网络安全、数据安全、应急工作等方面要求都有细致明确的规定。审计人员应持续关注银行外包业务种类的变化，检查外包合同中数据安全、应急管理等方面内容，重点检查分行日常工作及外包公司的考核机制，关注商业银行业务部门是否将外包公司的工作纳入监督体系。

（三）业务系统管理

在银行业务部门的日常工作中涉及众多业务系统，具体可分为银行核心业务系统、中间业务系统、风险管理类系统、个贷系统、营销管理系统等几大类。主要风险体现在业务系统的用户管理和系统功能控制两个方面。在用户管理方面，因为业务工作的需要，个别员工在休假期间可能会将本人的应用系统用户出借他人使用来完成工作，由于应用系统用户使用者非本人，存在非授权操作导致的数据安全风险以及业务操作风险。在系统功能控制方面，部分业务系统缺乏日志查询功能，导致无法进行审计检查相关追溯。此外，界面显示客户数据未做敏感处理，也存在数据泄露风险。

审计人员应持续加强对业务系统的用户管理和系统功能控制两个方面的检查。在用户管理方面，审计人员可以运用各类审计数据分析工具，通过分析数据模型，抽取系统日志，检查用户权限，对员工用户管理进行检查，针对员工请休假期间用户的使用、离职员工的用户管理、业务系统用户权限管理进行检查。在系统功能控制方面，审计人员应积极获取业务部门员工使用业务系统过程中遇到的问题以及优化建议，要求员工主动与系统开发部门进行沟通并及时反馈问题。检查业务系统是否添加了相关查询操作日志，是否定期对日志进行追踪和排查，是否完善各业务系统敏感信息的屏蔽机制。

三、后续完善的建议

一是加强征信信息安全管理的检查。根据《中国人民银行关于进一步加强征信信息安全管理的通知》要求，各商业银行应抓好信息风险防范，确保征信信息不泄露；加强征信用户管理，杜绝公共账户，确保一人一户、专人专用；严守“先授权后查询”的合规底线。审计人员在今后的工作中应对商业银行征信工作的信息安全管理、用户管理、授权管理等进行重点检查。

二是持续加强外包领域的检查。近年来，银保监会对外包业务的检查要求日益增多，如《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》要求进一步做好对非驻场集中式外包服务的风险评估，加强监督管理，防范银行业区域性、系统性信息科技风险。而在各商业银行的审计项目中，外包仍是普遍存在问题的领域，包括外包项目的信息安全管理、超越外包范围使用外包人员等，审计人员仍需在今后的审计工作中持续关注。